Home Blog Blick in die Zukunft: Cybersecurity-Bedrohungen für den Life-Sciences-Sektor

Blick in die Zukunft: Cybersecurity-Bedrohungen für den Life-Sciences-Sektor

von Danilo Maruccia, Executive Consultant und Stephen Tyrpak Associate Vice President von MD Operations; US & Kanada @PQE Group

Cybersecurity

Erfahren Sie mehr

Erreichen Sie die "Compliance" für Ihr medizinisches Gerät in Europa

Kontaktieren Sie uns

In der ersten Hälfte des Jahres 2022 gab es weltweit 2,8 Milliarden Malware-Angriffe1 und 236,1 Millionen Ransomware-Angriffe2. Bis zum Jahresende 2022 wurden sechs Milliarden Phishing-Angriffe3 erwartet4. Auch im Jahr 2023 steht die Cybersicherheit ganz oben auf der Liste der CIO-Prioritäten5. Dies ist nicht überraschend.

Cyberkriminelle verüben seit Jahren Cyberangriffe auf Organisationen des Gesundheitswesens, und Ransomware stellt trotz aller Bemühungen zu ihrer Bekämpfung weiterhin eine Gefahr dar. Datenschutzverletzungen sind nach wie vor ein häufiges Problem, und die Unternehmen bleiben anfällig. Die Bedrohungen entwickeln sich weiter und werden immer raffinierter und effektiver, wobei immer mehr Angriffsvektoren genutzt werden. Unter anderem sind Anbieter von verwalteten Diensten, Lieferketten und Open-Source-Software gefährdet. Und während die Regierungen immer aggressiver zurückschlagen, spielen die Organisationen des Gesundheitswesens eine ebenso große Rolle bei ihrer eigenen Verteidigung6.
Cybersecurity Threats for Life Sciences_blog sito

Da die Bedrohungen immer größer werden und die Angreifer ihre Strategien und Methoden ständig ändern, müssen sich die Unternehmen unablässig auf die zunehmenden Angriffsversuche der Hacker und ihre invasiven Aktivitäten einstellen7. Ransomware-Angriffe sind mittlerweile ein fester Bestandteil von Cyberbedrohungen und werden immer zahlreicher und ausgefeilter. Obwohl die Anbieter von Ransomware-as-a-Service (RaaS) ihre Software ständig verbessern, hat es RaaS verschiedenen Bedrohungsakteuren – auch solchen mit geringen technischen Kenntnissen – erleichtert, Ransomware gegen Ziele einzusetzen. Dieses neue Muster besteht darin, dass eine Kerngruppe von Entwicklern die Ransomware und die Zahlungsseiten einrichtet und pflegt und die von ihnen angeworbenen Partner in die Netzwerke der Opfer eindringen und Geräte verschlüsseln. Aufgrund der Bedeutung und Verbreitung von Ransomware und ihrer Auswirkungen hat die United States Cybersecurity and Infrastructure Agency seinen Leitfaden zu Ransomware veröffentlicht8.

 

Angriffe auf Life-Sciences-Unternehmen und Dienstleister im Gesundheitswesen, einschließlich Unternehmen aus den Bereichen Gesundheitstechnologien, Pharmazie, Biotechnologie und Medizintechnik, haben in den letzten Jahren erheblich zugenommen. Auch die Weltgesundheitsorganisation meldete 2020 eine Verfünffachung der Angriffe9. Die Zunahme von Datenverlusten und Ransomware-Angriffen auf diese Organisationen gefährdet Unternehmen und Organisationen in hohem Maße und kann medizinische Geräte und Anlagen deaktivieren. Die Risiken können zu schwerwiegenden Folgen führen, unter anderem: 

      • Gefährdung der Patientensicherheit bis hin zum Tod
      • Diebstahl von geistigem Eigentum
      • Klage im Rahmen der gesetzlichen Haftpflicht
      • Regulatorische Sanktionen und Geldstrafen
      • Rufschädigung

Es sollten laufend mehrere Schritte unternommen werden, um die Risiken für die Cybersicherheit und den Datenschutz zu mindern10. Dazu gehören:

  • Durchführung von Datenschutz- oder Sicherheitsrisikobewertungen, um festzustellen, ob potenzielle Risiken und Schwachstellen bestehen, und Zusammenarbeit mit externen Beratern, um festgestellte Risiken und Schwachstellen zu mindern
  • Bewertung bestehender Datenschutz- und Sicherheitsrichtlinien sowie des Versicherungsschutzes für Cybersicherheit, um die Kosten eines Vorfalls zu prognostizieren und Lücken im Versicherungsschutz zu schließen
  • Bewertung der unternehmensweiten Praktiken zur Erfassung und Speicherung/Aufbewahrung personenbezogener Daten, um die Einhaltung der staatlichen, bundesstaatlichen und internationalen Gesetze zur Datenerfassung sicherzustellen
  • Schulung aller Arten von Mitarbeitern, nicht nur aus dem Bereich der Informationstechnologie, in bewährten Vorgehensweisen zum Schutz vor Phishing und Ransomware (z. B. wie Angreifer vorgehen, wonach Bedrohungsakteure suchen und praktische Ratschläge zur Erkennung und Meldung von Bedrohungen)
  • Aufnahme von Entschädigungs-, Datennutzungsbeschränkungs- und anderen Klauseln in Lieferantenverträge zum Schutz vor Schaden sowie regelmäßige Überprüfung der Verträge

Wir glauben, dass die Zukunft des Gesundheitswesens in der vernetzten Medizin liegt. Das Potenzial für integrierte pharmazeutische/biotechnische Produkte und Medizinprodukte ist unendlich. Dazu gehören Innovationen wie Knieimplantate, die mit einem Handy verbunden sind, um den pH-Wert und die Verschlechterung zu überwachen und den Patienten oder Arzt über eine mögliche Infektion oder Komplikation zu informieren. Andere Beispiele sind Herzklappen, die einem Arzt diagnostische Rückmeldungen geben können, um die pharmakologische Behandlung zu optimieren, oder ein unter die Haut implantierter Chip, der melden könnte, wenn ein Krebspatient in Remission diagnostische Anzeichen dafür zeigt, dass der Krebs zurückgekehrt ist. Dies mag futuristisch klingen, aber es gab eine Zeit, in der niemand glaubte, dass ein Herzschrittmacher das Versagen des menschlichen Herzens verhindern könnte. Allen gemeinsam ist, dass sie, sollten sie auf den Markt kommen, in hohem Maße von geeigneter Software und IT-Kommunikation abhängig sind und letztlich ein besonders hohes Maß an Cybersicherheit erfordern würden. Bisher konzentrierten sich die meisten Bedenken in Bezug auf die Cybersicherheit auf den Schutz der Daten von Patienten und Einrichtungen. Dies ist tatsächlich sehr wichtig und Fehler können zudem kostspielige Auswirkungen haben. Da die Technologie jedoch immer weiter fortschreitet, können Bedrohungen der Cybersicherheit Unternehmen ihre Erträge, ihren Ruf und Menschen ihr Leben kosten.

Pharma-, Biotech- und Medizintechnikunternehmen müssen ihre Produkte durch integrierte, robuste Cybersicherheitsmaßnahmen schützen und gleichzeitig eine angemessene Bewertung der Cybersicherheitsrisiken durch Cybersicherheitsexperten durchführen. Da sich die Technologien ständig weiterentwickeln, ist es für diese spezialisierten Fachleute von entscheidender Bedeutung, die mit dem Produkt verbundenen Risiken im Hinblick auf die Cybersicherheit genau zu erkennen. Wie bei jeder Risikomatrix kann man das Risiko nicht mindern, wenn man den potenziellen Schaden nicht kennt.

* * * * *

Die PQE Group ist ein nach ISO 9001 zertifiziertes Unternehmen für Technologielösungen und Compliance-Beratungsdienste für die Life-Sciences-Branche. Es stellt globales Know-how für den gesamten Lebenszyklus der Produktqualität bereit. PQE wurde 1998 gegründet und verfügt weltweit über 30 Niederlassungen und mehr als 1500 spezialisierte Fachkräfte. PQE ist unter anderem auf folgende Bereiche spezialisiert: Datenintegritätssicherung, digitale Governance und Cybersicherheit, Medizinprodukte, Qualifizierung und Technik, Laborexzellenz, Qualitätskonformität, regulatorische Angelegenheiten und Audits durch Dritte. Das Unternehmen hat eine Erfolgsbilanz bei der Durchführung großer Projekte über mehrere Standorte aufzuweisen und unterstützt kleine und mittelständische Kunden sowie Start-ups aus den Bereichen Pharmazie, Biotechnologie und Medizinprodukte.

Die hochprofessionellen Fachkräfte der PQE Group können sicherstellen, dass Ihre IT-Systeme vor Ransomware, Hackern und anderen Cyber-Bedrohungen geschützt sind. Wenn Sie mit der PQE Group zusammenarbeiten, können Sie sicher sein, dass Ihr Unternehmen die FDA-Vorschriften (und die Vorschriften anderer Behörden) einhält und dass Ihr Produkt sicher entwickelt und hergestellt werden kann.

 

Literaturhinweise

  1. Number of malware attacks per year 2022 | Statista 
  2. Number of ransomware attacks per year 2022 | Statista
  3. Phishing attack statistics 2022 (cybertalk.org)  
    (https://www.techrepublic.com/article/top-cybersecurity-threats/)
  4. Cybersecurity Tops the CIO Agenda as Threats Continue to Escalate - WSJ 
  5. Title (hhs.gov)Title (hhs.gov) 
    mandiant cyber security forecast 2023 - Search (bing.com)Title (hhs.gov) 
  6. CISA MS-ISAC Ransomware
  7. Guide2020: The Year the COVID-19
  8. Crisis Brought a Cyber Pandemic (govtech.com) 
  9. 2020: The Year the COVID-19 Crisis Brought a Cyber Pandemic (govtech.com)
  10. Cybersecurity and Privacy Threats and Risks for Life Sciences and Healthcare Companies (orrick.com) 

     

Möchten Sie mehr erfahren?

PQE Group hat einen spezifischen ganzheitlichen Ansatz entwickelt, um sicherzustellen und zu verifizieren, dass unsere Kunden das höchste Maß an Cybersicherheit haben, indem wir mögliche Schwachstellen analysieren und lösen, zudem zukünftige Beobachtungen und Verstöße verhindern.

MD Cybersicherheits-leitfaden    Kontaktieren Sie uns

Mehr zu diesem Thema